Intro. 대부분의 현대 Anti-Virus 제품은 시그니처 방식과 휴리스틱 방식을 활용해 악성으로 의심되는 파일(Malicious file)을 탐지 및 차단하고 있다. 악성으로 의심되는 파일은 악성코드로 간주하고 검역소로 이동 후 사용자에게 알림과 확인 절차를 통해 악성코드 판별을 유도한다. 이런 이유로 DFIR 분석 과정에서 Anti-Virus 검역소에 저장되어 있는 공격자의 공격 도구를 심심찮게 볼

서론 사이버 보안의 중요성은 기술의 발전과 함께 날로 증가하고 있으며, 이러한 환경에서 전문가들 간의 침해 지표(IoC) 및 위협 정보의 공유는 사이버 위협에 대응하고 예방하는 데 있어 점점 더 중요해지고 있다. 이러한 정보 공유는 조직이 사이버 공격의 초기 단계에서부터 위협을 식별하고 대응할 수 있게 해준다. 오늘은 이러한 필요에 부응하는 도구

이 글에서는 IGNITE 수집 단계에 대해 설명하고, 원격 수집하는 방법에 대해 다룬다. 이 글을 읽기 전 Introduce Magnet IGNITE를 먼저 읽는 것을 추천한다. IGNITE를 이용한 수집은 3단계(케이스 생성 & Agent 생성 → Agent 배포 → 수집)로 이루어진다. 1. 케이스 생성 & 수집 Artifacts 지정 지원되는 브라우저(Chrome, Firefox, Edge)에서 웹사이트(Magnet

2017년 5월에 발생한 Wannacry Ransomware 공격에 사용된 주소 3개에 대해 QLUE를 이용해 자금의 흐름을 살펴본다. ※ 본 게시글의 암호화폐 주소 추적은 BIG의 암호화폐 추적 솔루션인 "QLUE"를 사용했습니다. 1. Wannacry Ransomware 공격이란? Wannacry Ransomware 공격은 2017년 5월에 발생한 사이버 공격으로, 전 세계 150여개국 20만대 이상의 컴퓨터가 감염되었다. 윈도우 OS 취약점을 악용해

Traffic Light Protocol(TLP)은 FIRST(Forum of Incident Response and Security Teams)에서 개발한 프로토콜이며, 잠재적으로 민감한 정보에 대해 공유할 수 있는 범위를 지정하는 표기 시스템이다. Traffic Light Protocol(이하 TLP) 2.0에서는 정보의 공유 경계를 나타내기 위해 4가지의 색상(RED, AMBER, GREEN, CLEAR)을 사용한다. 기존 1.0에서는

침해사고 사례 공유 세미나를 진행하며 침해사고 대응 및 조사의 현주소를 파악하기 위해 다양한 문항으로 설문조사를 실시했다. 해당 설문 조사는 상반기 및 하반기 세미나 참석자에게 응답을 받았으며, 문항은 총 11개이다. 설문조사 결과를 통해 침해사고 대응의 현주소에 대한 인사이트를 공유하고자 한다. 문항 #1 - 현재 어떤 업무를 수행하고 계신가요? 세미나 참석자의 업무

이제는 랜섬웨어나 정보 유출과 같은 침해사고가 기업 또는 개인의 문제로만 여기기 어려울 정도로 빈번하게 발생하고 있다. 이로 인해 중소기업들은 상대적으로 보안에 대한 투자와 인력이 부족한 상태에서 사이버 공격으로부터 피해를 입는 경우가 늘어나고 있다. 이에 중소기업의 보안 강화에 대한 필요성이 더욱 강조되고 있다. 플레인비트는 한국인터넷진흥원과 2022년부터 침해사고가 발생한 중소기업을 대상으로 사고

1. 개요 지난 12월 4일 하반기 침해사고 정보공유 세미나에서 'Sysmon을 이용한 호스트 기반의 사이버 위협 로깅 방안' 연구에 대해 소개하는 시간을 가졌다. 발표 후 질문받았던 내용 중에 Sysmon 프로세스 강제 중단을 방지하는 방법과 실행이 중단되었을 때 자동 실행 방안 등 Sysmon이 우회되는 것을 우려하는 질문이 많았다. 더 자세한 내용을 공유하기

암호화폐 지갑 데이터 복호화를 가장해 니모닉 시드를 탈취하는 악성 파이썬 패키지와 공격자의 ETH 주소를 분석해본다.